Antagen av kommunstyrelsen den Dataskyddspolicy Lemlands kommun

Transkript

1 Antagen av kommunstyrelsen den Dataskyddspolicy Lemlands kommun

2 INNEHÅLLSFÖRTECKNING 1. INLEDNING LEMLANDS KOMMUNS HANTERING AV PERSONUPPGIFTER Personuppgiftsansvarig Behandling av personuppgifter Personuppgiftsincidenter Registerbiträdesavtal Lagring och arkivering av personuppgifter Information till den registrerade E-post Behörighet till personuppgifter Grund för behandling av personuppgifter Publicering av personuppgifter på webbplatsen INFORMATION OM HUR LEMLANDS KOMMUN HANTERAR PERSONUPPGIFTER Principer för behandling av personuppgifter Kommunens arbete med efterlevnad av dataskyddsförordningen Information och registerutdrag Principer för insamlande av personuppgifter Korrekta personuppgifter Lagringstid för personuppgifter Säkerhet som princip Kontakt, frågor eller mer information Dataskyddsförordningen och offentlighetsprincipen Känsliga och extra skyddsvärda personuppgifter Konsekvensbedömning Information och kommunikation Den registrerades rättigheter... 10

3 1. INLEDNING Denna dataskyddspolicy är uppdelad i två avsnitt, ett som reglerar hur Lemlands kommuns anställda ska hantera personuppgifter och ett som informerar hur Lemlands kommun behandlar personuppgifter. Policyns båda delar är dock bindande för Lemlands kommuns personuppgiftsanvariga. Dataskyddspolicyn utgår från bestämmelserna i Europaparlamentet och rådets förordning (EU) 2016/679 av om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan Dataskyddsförordningen eller GDPR). 2. LEMLANDS KOMMUNS HANTERING AV PERSONUPPGIFTER 2.1. Personuppgiftsansvarig Det är respektive nämnd som är personuppgiftsansvarig för de personuppgifter som behandlas inom verksamhetsområdet Behandling av personuppgifter Som behandling av personuppgifter räknas enligt dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Med lagring avses inte arkivering utan avser lagring av aktuella personuppgifter. När något arkiverats anses personuppgiften inte längre vara under behandling. Personuppgifter är bara sådana uppgifter som kan härledas till en fysiskt levande person. Uppgifter om avlidna är inte en personuppgift och uppgifter som härleds till juridiska personer är inte heller personuppgifter Personuppgiftsincidenter En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel på personuppgiftsincident: - Personuppgift som på något sätt har gått förlorad - Personuppgift som kommit i orätta händer. Det har ingen betydelse om ovanstående har skett med eller utan avsikt. Det är i båda fallen personuppgiftsincidenter. En personuppgiftsincident ska anmälas till tillsynsmyndigheten inom 72 timmar efter att den har upptäckts. Det åligger varje anställd att utan dröjsmål rapportera en personupp- 1

4 giftsincident i samråd med överordnad. Personuppgiftsincidenten ska även rapporteras till den personuppgiftsansvarige Registerbiträdesavtal Ett registerbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett registerbiträdesavtal är ett avtal som ska skrivas mellan personuppgiftsansvarig och kommunens registerbiträden. Ett registerbiträde är således en aktör som på uppdrag av Lemlands kommun behandlar personuppgifter. Vid behov av registerbiträdesavtal bör den personuppgiftsansvarige meddela detta till aktören som tar fram ett förslag till avtal. Ifall det är Lemlands kommun som tar fram förslag till avtal kan personuppgiftsansvarig ta kontakt med kommunkansliet för hjälp med att utforma ett registerbiträdesavtal Lagring och arkivering av personuppgifter En av de grundläggande principerna i GDPR är principen om lagringsminimering. Lemlands kommun ska således endast samla in sådana uppgifter som behövs för att kunna utföra kommunens åtagna uppgifter. När en personuppgiftsansvarigs grund för behandling av personuppgifter upphör (t.ex. när ett barn inte längre är i barnomsorg) ska uppgiften arkiveras alternativt gallras beroende på arkivbestämmelserna. För närvarande sker all arkivering genom papper och elektronisk arkivering är inte möjlig. Arkivering ska ske på separat plats, man kan således inte ha arkiverade personuppgifter på samma plats i till exempel kontoret som man har aktuella personuppgifter Information till den registrerade Varje registrerad har rätt att veta vilka personuppgifter som en myndighet behandlar. Lemlands kommun är således skyldig att vid förfrågan ge ut uppgifter till den registrerade. Uppgifter som ska ges ut är både strukturerad data och ostrukturerad data. Undantag är personuppgifter som återfinns i löpande text som utgör ett utkast eller en minnesanteckning. Vid förfrågan från den registrerade ska följande information delges den berörda: - Ändamål med behandlingen - Vilka personuppgifter som behandlas - Till vilka Lemlands kommun lämnat eller kommer att lämna ut uppgifterna - Om möjligt, en uppskattning hur länge personuppgifterna kommer att behandlas, eller om detta inte är möjligt, de kriterier som används för att fastställa hur länge vi behandlar uppgifterna - Rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling - Rätten att inge klagomål till en tillsynsmyndighet - Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer. 2

5 Varje personuppgiftsansvarig bör vara beredd på förfrågningar och således ha klara och tydliga motiveringar varför behandling av personuppgifterna sker E-post GDPR påverkar hur användningen av e-post får ske inom Lemlands kommun. Grundregel är att hantering av personuppgifter ska ske utanför e-post i system eller strukturerade dokument som är skyddade från obehöriga. Ett e-postmeddelande med personuppgifter får inte ligga kvar i inkorgen eller i skickatmappen hur länge som helst. När behandlingen av personuppgiften är klar ska informationen flyttas till ett system eller till ett strukturerat dokument alternativt raderas. Den tid som en personuppgift lagras i e-posten ska begränsas till ett strikt minimum. I e-post får man inte behandla eller spara personuppgifter som är känsliga eller sekretessbelagda. Om känsliga eller sekretessbelagda personuppgifter inkommer får man till exempel inte vidarebefordra eller svara på e-posten så att uppgifterna sänds vidare. Ifall Lemlands kommun behöver de inkomna uppgifterna för att utföra kommunens uppgifter ska man omedelbart skriva ut e-posten och sedan radera den. Skicka aldrig känsliga eller extra skyddsvärda personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter. Undvik även att skicka andra integritetskänsliga och extra skyddsvärda uppgifter som exempelvis lönebesked, värderingar av en person såsom social förmåga eller provresultat via e-post. E-post ska användas för att kommunicera, inte för att lagra uppgifter. Man ska således inte spara e-post bara för att det eventuellt kan vara bra att ha i framtiden Behörighet till personuppgifter Bara den som behöver kunna behandla personuppgifterna ska kunna utföra sådan behandling. Därmed ska behörighet till olika system eller mappar spegla en anställds faktiska behov för att utföra sina arbetsuppgifter Grund för behandling av personuppgifter När personuppgifter behandlas i Lemlands kommun, eller på uppdrag av kommunen, ska de grundläggande principerna i GDPR vara uppfyllda. Principerna anges i artikel 5 i GDPR. I enlighet med GDPR:s princip om laglighet, korrekthet och öppenhet ska Lemlands kommun behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras av Lemlands kommun. Med detta menas att kommunen alltid ska vara tydlig och konkret i sin beskrivning av hur personuppgifter behandlas. Lemlands kommun ska alltid se till att personuppgifter behandlas på en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen efterlevs. All behandling av personuppgifter som Lemlands kommun utför måste vila på minst en rättslig grund, i annat 3

6 4 Dataskyddspolicy för Lemlands kommun fall är behandlingen olaglig. Nedan följer de rättsliga grunder som behandlingen ska vila på: - Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. - Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. - Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. - Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. - Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. - Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Grunden för Lemlands kommuns behandling av personuppgifter vilar oftast på att behandlingen är nödvändig för att fullgöra kommunens rättsliga förpliktelser. Som exempel är ett register över barn i barnomsorg ett sådant register som Lemlands kommun behöver för att kunna fullgöra förpliktelserna i barnomsorgslagen. I vissa fall är det dock nödvändigt för Lemlands kommun att begära in samtycke från de registrerade för att kunna behandla personuppgifter. Det kan till exempel vara ett nyhetsbrevsutskick eller något annat som är helt valfritt att vara del i för den registrerade. Samtycken ska inte hämtas in om det finns någon annan rättslig grund för behandlingen Publicering av personuppgifter på webbplatsen Lemlands kommun publicerar i regel alla organs protokoll på webbplatsen och kommunen publicerar även annat material på webbplatsen. Vid all publicering måste man dock ta hänsyn till individers rättigheter Ansvar över publiceringen I Lemlands kommun är det administratören som oftast publicerar något på kommunens webbplats. Dock ligger ansvaret över det som publiceras på den som begär att det ska publiceras och denne ska se till att felaktiga personuppgifter tas bort eller rättas Kontroll före publicering I första hand ska material som ska publiceras på webbplatsen skrivas på ett sådant sätt att det inte innehåller några personuppgifter. Ifall det inte går att undvika ska personuppgifter maskeras. Protokoll innehåller ofta personuppgifter och som även är nödvändiga för beslutsfattandet. Många personuppgifter som återfinns i protokoll är också offentliga uppgifter. Det ska

7 dock ur ett informationsperspektiv finnas mycket goda grunder för att lägga ut personuppgifter på webbplatsen och således ska personuppgifter i protokoll maskeras innan publicering om inte berörd personen gett sitt samtycke. Det finns dock vissa undantag på personuppgifter som inte behöver maskeras: - Tjänstemäns och förtroendevaldas personuppgifter får publiceras om uppgifterna har samband med deras tjänsteutövning eller uppdrag - Beslut om att till exempel utdela ett stipendium, ge någon fullmakt eller bygglov - Offentliga personuppgifter, om offentliggörandet tjänar kommunens intresse att ge information, dvs. om uppgifterna är av allmänt intresse. Bygglov är tillståndsbeslut som innehåller personuppgifter och som hör till anslagsförfarandet enligt en speciallag och som ska vara offentligt framlagda endast under den tid som krävs i lagen. Således kan till exempel uppgifter om vem som har fått bygglov publiceras på webben enligt 2 punkten ovan förutsatt att lagens villkor för anslagsförfarandet följs noggrant. Kontaktuppgifter till den som fått bygglov ska dock inte publiceras om inte berörd har gett sitt samtycke till detta. 3 punkten ovan förutsätter prövning från fall till fall. Ifall en personuppgiftsansvarig anser att en personuppgift är av så stort allmänt intresse att den bör publiceras bör denne ta kontakt med kommunens dataskyddsombud för att rådgöra Förbud mot publicering Följande uppgifter får inte publiceras på Lemlands kommuns webbplats: - Känsliga uppgifter enligt dataskyddsförordningen: Etnisk tillhörighet Politiska åsikter (gäller ej förtroendevalda) Religiös eller filosofisk övertygelse Medlemskap i fackförening Uppgifter som rör hälsa eller sexualliv - Uppgifter som omfattas av sekretess - Personbeteckning - Uppgift om lagöverträdelse - Integritetskänslig information, till exempel uppgifter om enskildas personliga förhållanden eller sådant som ha en nära koppling till den enskildas privata sfär. Känsliga personuppgifter får publiceras om det finns ett samtycke från den personen eller om denne själv på ett tydligt sätt offentliggjort uppgifterna. Detta gäller till exempel fackliga företrädare. För webbpublicering av fotografier där identifierbara levande personer förekommer krävs samtycke. 5

8 3. INFORMATION OM HUR LEMLANDS KOMMUN HANTERAR PERSONUPPGIFTER Nedan följer information om hur Lemlands kommun hanterar personuppgifter och det nedanföljande ska kommuniceras ut på kommunens webbplats och finnas tillgängligt på kommunens verksamhetsenheter. Till delar är informationen nedan en upprepning av vad som tas upp i föregående avsnitt Principer för behandling av personuppgifter Varje nämnd i Lemlands kommun är personuppgiftsansvarig och därmed ytterst ansvarig för sin behandling av personuppgifter. Dataskyddsförordningen, även kallad GDPR, har till syfte att skydda den grundläggande mänskliga rättigheten, rätten till ett privatliv. En människas personliga integritet ska inte kränkas i samband med behandlingen av personuppgifter. Till personuppgifter räknas all slags information som kan knytas till en fysisk person som är i livet. Exempel på personuppgift är personbeteckning, namn, adress, foton, registreringsnummer, fastighetsbeteckning, identifikationer online, personers fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Kommunens arbete med efterlevnad av dataskyddsförordningen När personuppgifter behandlas (all hantering av personuppgifter utgör behandling) i kommunen, eller på uppdrag av kommunen, ska de grundläggande principerna i dataskyddsförordningen vara uppfyllda. Nedan ges några exempel på hur Lemlands kommun arbetar med att efterleva förordningen. I enlighet med Dataskyddsförordningens princip om laglighet, korrekthet och öppenhet ska Lemlands kommun behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras av Lemlands kommun. Med detta menas att kommunen alltid ska vara tydlig och konkret i sin beskrivning av hur personuppgifter behandlas. Lemlands kommun ska alltid se till att personuppgifter behandlas på en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen efterlevs. All behandling av personuppgifter som Lemlands kommun utför måste vila på minst en rättslig grund, i annat fall är behandlingen olaglig. Kommunen ska alltid ha avvägningen mellan den registrerades integritet och den egna verksamhetens effektivitet i åtanke. För de uppgifter som hämtas in av kommunens olika enheter är samtycke i de flesta fall inte nödvändigt. Det beror på att uppgifterna används i samband med exempelvis myndighetsutövning, för att kunna fullgöra en skyldighet som åligger kommunen eller att ett avtalsförhållande föreligger. Alla kommunala nämnder har ett ansvar för att personuppgifter behandlas på ett korrekt sätt. 6

9 3.3. Information och registerutdrag Den registrerade har rätt att få information när dennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av Lemlands kommun både när uppgifterna samlas in och när den registrerade begär det. Önskas information om vilka av ens personuppgifter som behandlas av Lemlands kommun ska man ta kontakt med kommunkansliet. För att få ut personuppgifterna behöver man kunna styrka sin identitet Principer för insamlande av personuppgifter Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Med detta menas att Lemlands kommun hela tiden känner till och dokumenterar anledningen till att en viss personuppgift hanteras och personuppgifterna inte senare används för en helt annan anledning som går emot den ursprungliga. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Med detta menas att Lemlands kommun endast ska använda sig av de personuppgifter som krävs för att uppnå målet med hanteringen. Kan samma mål uppnås genom att använda färre personuppgifter eller mindre känsliga sådana ska så ske Korrekta personuppgifter Personuppgifterna som Lemlands kommun hanterar ska vara korrekta och om nödvändigt uppdaterade. Åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga raderas eller rättas utan dröjsmål. Med detta menas att Lemlands kommun alltid måste verka för att personuppgifter som är felaktiga rättas och att det finns rutiner för hur så ska ske Lagringstid för personuppgifter Personuppgifter får inte förvaras identifierbara under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Med detta menas att personuppgifterna inte får sparas längre än vad som behövs utifrån målet med behandlingen. När målet är uppnått ska arkivering, gallring eller avidentifiering av personuppgifterna alltid övervägas Säkerhet som princip Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller 7

10 skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Med detta menas att personuppgifter ska skyddas genom tekniska och organisatoriska åtgärder på en nivå som motsvarar uppgifternas skyddsvärde. Är uppgifterna av känslig eller särskilt skyddsvärd art ska också högre tekniska och organisatoriska krav ställas. Utgångspunkten ska alltid vara att endast behöriga personer ska ges tillgång till skyddsvärd information Kontakt, frågor eller mer information För att göra invändningar mot Lemlands kommuns personuppgiftsbehandlingar eller om man vill ha rättelse, begära överföring (dataportabilitet), begära begränsning av behandlingen eller begära radering av sina personuppgifter begär man det på adressen: Lemlands kommun Kommunrundan 7 AX Lemland Man kan även göra begäran genom att skicka en e-post till info@lemland.ax. För kontakt med Lemlands kommuns dataskyddsombud: Namn: Joakim Örblom, Marcus Söderholm eller Magnus Unger Postadress: Elverksgatan 10, AX Mariehamn E-post: info@ada.ax Telefonnummer: Vill man klaga på Lemlands kommuns behandling av ens personuppgifter kan man vända sig till Datainspektionen som är tillsynsmyndighet inom området. För kontakt med Datainspektionen: Postadress: Elverksgatan 10, AX Mariehamn E-post: inspektion@di.ax Telefonnummer: Dataskyddsförordningen och offentlighetsprincipen För kommunens verksamhet gäller offentlighetsprincipen. Offentlighetsprincipen innebär en rätt för var och en att hos Lemlands kommun ta del av allmänna handlingar. Detta innebär att även personuppgifter kan begäras och lämnas ut som en del av allmän handling oavsett för vilket ändamål personuppgiften ursprungligen behandlades. Denna rätt gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt landskapslagen om allmänna handlingars offentlighet (ÅFS 1977:72) eller senare motsvararande gällande lagstiftning. 8

11 3.10. Känsliga och extra skyddsvärda personuppgifter Vissa personuppgifter är till sin natur mer känsliga än andra. I dataskyddsförordningen anses följande särskilda kategorier av personuppgifter kräva ett särskilt legalt skydd: - ras eller etniskt ursprung - politiska åsikter - religiös eller filosofisk övertygelse - medlemskap i en fackförening - hälsa - en persons sexualliv eller sexuella läggning - genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Lemlands kommun ska endast behandla känsliga personuppgifter när det finns särskilt stöd i lag eller om den registrerade särskilt samtyckt till den specifika behandlingen. Även personuppgifter som inte är särskilt reglerade som känsliga kan vara mer skyddsvärda än andra. Personuppgifter av mycket personlig eller privat natur anses generellt vara mer skyddsvärda än andra typer av personuppgifter Konsekvensbedömning Om en behandling av personuppgifter som kan leda till en hög risk för de registrerade (t.ex. en omfattande hantering av känsliga personuppgifter eller risk att särskilda krav avseende skydd inte kommer att kunna uppnås) planeras genomföras måste Lemlands kommun enligt dataskyddsförordningen först genomföra en så kallad konsekvensbedömning avseende dataskydd. Om en sådan konsekvensbedömning innebär att de bedömda höga riskerna kvarstår måste Lemlands kommun samråda med Datainspektionen som är tillsynsmyndigheten innan behandlingen påbörjas Information och kommunikation Lemlands kommun ska tillhandahålla information till registrerade i enlighet med dataskyddsförordningens krav. Information ska ges om hur Lemlands kommun behandlar de registrerades personuppgifter och om vilka rättigheter som de registrerade har enligt dataskyddsförordningen. Information som ges ska vara koncis, klar, tydlig och begriplig och den ska ges i ett lättillgängligt format. Språket ska vara klart och tydligt, och vara anpassat till mottagaren, exempelvis om informationen är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt och kan när det är lämpligt ges i elektronisk form. Om den registrerade begär det ska informationen tillhandahållas muntligt, under förutsättning att den registrerade har styrkt sin identitet. Det här innebär att den som ansvarar för behandlingen alltid måste ta ställning till om den information om behandlingen som krävs ges till den registrerade på ett tillräckligt sätt. 9

12 3.13. Den registrerades rättigheter Alla registrerade har rättigheter gentemot den som är personuppgiftsansvarig. Vissa av rättigheterna är beroende av vilken rättslig grund som den aktuella behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara kan göras gällande under vissa förutsättningar. Lemlands kommun ska möjliggöra för de registrerade att utöva sina rättigheter Rätt till insyn Den registrerade har rätt att få tillgång till de personuppgifter som behandlas. Detta innebär att Lemlands kommun på begäran måste kunna tillhandahålla dessa uppgifter till den registrerade Rätt till ändring Den registrerade har rätt att begära att felaktiga personuppgifter rättas och att ofullständiga personuppgifter kompletteras. Vissa personuppgifter som behandlas i enlighet med viss lagstiftning får dock till exempel endast justeras under vissa förutsättningar Rätt till radering, rätten att bli bortglömd Beroende på omständigheter i det enskilda fallet och vilken rättslig grund som personuppgiftsbehandlingen görs kan den registrerade även ha rätt till radering av sina personuppgifter. Rättigheten har begränsad tillämpning inom offentlig förvaltning eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig Rätt till begräsning Beroende på omständigheter i det enskilda fallet kan den registrerade ha rätt till att behandlingen av personuppgifterna begränsas till endast lagring under den tid det tar att utreda en invändning från den registrerade Rätt till dataportabilitet Beroende på omständigheter i det enskilda fallet och på vilken rättslig grund som personuppgiftsbehandlingen grundar sig på har den registrerade i vissa fall rätt att få tillgång till personuppgifterna i ett sådant format som möjliggör överförande till en annan personuppgiftsansvarig. Rättigheten har begränsad tillämpning inom kommuner eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig. 10

13 Återkallande av samtycke Om den rättsliga grunden för behandling av personuppgifter är ett samtycke från den registrerade så har denne rätt att återkalla samtycket. Ett återkallande av samtycket påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden innan samtycket återkallades Invända mot behandling Om den lagliga grunden för behandlingen av personuppgifter baseras på berättigat intresse (intresseavvägning) eller allmänt intresse har en registrerad under vissa förutsättningar rätt att invända mot hur dennes personuppgifter behandlas Rätt att lämna klagomål Den registrerade har alltid rätt att vända sig till tillsynsmyndigheten med klagomål om denne inte är nöjd med hur Lemlands kommun hanterar den registrerades personuppgifter. Tillsynsmyndighet är Datainspektionen. 11